Microsoft heeft zijn eigen patch voor het VML-gat (Vector Markup Language) in zijn webbrowser Internet Explorer (IE) toch eerder uitgebracht dan gepland. Aanvankelijk wou het bedrijf dit gat, waarvoor al kwaadaardige code rondgaat, pas op 10 oktober dichten in zijn maandelijkse patchronde.
Afgelopen weekend kwam een groep externe beveiligingsexperts met een zelfontwikkelde patch voor dit gat. Dit zogeheten Zeroday Emergency Response Team adviseert de nu verschenen officiële patch van Microsoft en biedt op zijn website uitleg en testmogelijkheden.
De kritieke beveiligingspatch die Microsoft nu heeft uitgebracht, is al concreet opgedoken op pc's die staan ingesteld op 'Automatische Update'. Het gat stelt kwaadwillenden in staat een pc over te nemen. Eind vorige week werd bekend dat het gat in IE, overigens niet aanwezig in de aanstaande nieuwe versie 7, ook van toepassing is op e-mailclient Outlook 2003.
Ontdekker Sunbelt Software is positief over de snelle respons van Microsoft, die het gat aanvankelijk niet zeer gevaarlijk achtte en de patch daarom in de reguliere patchronde wilde meenemen. Microsoft zegt de patch toch eerder uit te brengen omdat het zich bewust werd van concrete aanvallen. Toch noemt het die 'beperkt'. Sunbelt stelt juist dat het aantal aanvallen via dit gat in rap tempo toeneemt. Ook het Sans Internet Storm Center schat dit gat serieus in; het heeft de status ervan verhoogd van geel naar groen.
Microsoft is jaren terug overgegaan naar een maandelijks ritme voor het uitbrengen van zijn patches: elke tweede dinsdag van de kalendermaand. Dit moet beheerders duidelijkheid en regelmaat geven. De afgelopen maanden hebben ook malware-schrijvers ingehaakt op die regelmaat; veel kwaadaardige code verschijnt een dag ná Microsofts patch-dag ( 'patch tuesday').
